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A (57) Abstract: The invention relates to a method for remote-controlled programming of a program-controlled device (3) and to an 
ig an interface (4) which is used to receive program data, an authorisation, and a remote-controlled, program- 
| controlled device (3) comprising a processor (12) and a program memory (8). According to the inventive method, program data 
H can be remotely-transmitted by a control point (9) to an interface (4) and temporarily stored in a buffer memory (7). Subsequently, 
? authorisation is transferred from the conlrol point (9) to the interface (4) and from said interface to the device (3). Said device (3) 
? examines the authorisation and retrieves the program data from the buffer memory (7) if the result is positive. 


|^ (57) Zusammenfassung: Es werden Verfahren zum Femprogrammieren eines programmgesteuerten Gerats (3) sowie eine Anord- 
O nnn g mat einer Schnittstelle (4) zum Empfangen von Programmdaten und einer Legitimation, und einem femprograrnmierbaren, 
O programmgesteuerten Gerat (3), das einen Prozessor (12) und einen Programmspeicher (8) umfasst, beschrieben. Bei den Verfah- 
^ ren werden Programmdaten von einer Kontrollstelle (9) zu einer Schnittstelle (4) femiiberlragen und dort in einem Pufferspeicher 
Q (7) zwischengespeichert. AnschlieBend wird eine Legitimation von der Kontrollstelle (9) zur Schnittstelle (4) und von dieser zum 
^ Gerat (3) iibertragen. Das Gerat (3) aberpriift die Legitimation und ubernimmt bei positivem Ergebnis die Programmdaten aus dem 
j££ Pufferspeicher (7). 
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Fernprogrammieren eines programmgesteuerten Gerats 
Stand der Technik 

Die vorliegende Erfindung betrifft Verfahren zum 
Fernprogrammieren eines programmgesteuerten Gerats 
sowie eine Anordnung mit einer Schnittstelle zum 
Empfangen von Programmdaten und einer Legitimation, 
und einem f ernprogrammierbaren programmgesteuerten 
Gerat, das einen Prozessor und einen Programmspei- 
cher umfasst. 

In modernen Fahrzeugen werden zunehmend elektroni- 
sche Steuereinheiten zur Steuerung und Regelung 
verschiedenster Funktionen des Fahrzeugs einge- 
setzt. Vor allem ein Betrieb von Fahrzeugmotoren 
wird mittels solcher Steuereinheiten gesteuert. 
Elektronische Steuereinheiten bedurfen zur Ausfiih- 
rung ihrer Funktion eines EDV-Programms . Haufig 
muss dieses EDV-Programm nachtraglich abgeandert 
werden, weil namlich Programmf ehler entdeckt wer- 
den, oder- aber vorgegebene Werte fur Betriebspara- 
meter einer von der Steuereinheit gesteuerten Vor- 
richtung aktualisiert oder Funktionen des EDV- 
Programms erweitert oder eingeschrankt werden sol- 
len. Zu diesem Zweck verfugt die Steuereinheit uber 
eine Schnittstelle, so dass entsprechende Modifika- 
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tionen des EDV-Programms in die Steuereinheit ein- 
gegeben und dort in einem Programmspeicher abge- 
speichert werden konnen. Das Fahrzeug muss dazu je- 
doch eine Werkstatt aufsuchen, wo mit einem soge- 
5 nannten Werkstatttester die neuen Programmdaten in 
die Steuereinheit eingespielt werden. Da das Pro- 
gramm in der Regel vertraulicher Art ist und auch 
jegliche unbefugte Manipulation der Arbeitsweise 
der Steuereinheit - beispielsweise aus Griinden der 

10 Haftung und/oder der Betriebssicherheit des Fahr- 
zeugs - verhindert werden muss, erfolgt die Ober- 
tragung der Programmdaten unter Verwendung von 
durch den Fahrzeughersteller spezif izierten Ver- 
schlusselungsmechanismen oder Schliisseln. Die ge- 

15 heimen Schliissel werden vom Hersteller im Werk- 
statttester abgelegt und werden vom Werkstatttester 
vor der Neuprogrammierung der Steuereinheit als 
dessen Legitimation vor der Steuereinheit verwen- 
det. Dabei ist die Steuereinheit vor einer direkten 

20 Manipulation geschutzt, so dass es auch nicht mog- 
lich ist, durch unbefugten Zugriff auf die Steuer- 
einheit an deren Erkennungsalgorithmen fur die Le- 
gitimation zu gelangen und daraus die Legitimation 
abzuleiten. Urn einen umstandlichen und zeitrauben- 

25 den Werkstattbesuch zu vermeiden, ist es wunschens- 
wert, die Steuereinheit aus der Feme programmieren 
zu konnen, ohne dabei jedoch Abstriche bei der Ma- 
nipulationssicherheit in Kauf nehmen zu miissen. 

0 Aus der DE 100 01 130 Al sind eine Anordnung und 
ein Verfahren zum Fernprogrammieren einer einen Mo- 
tor eines Fahrzeuges steuernden fernprogram- 
mierbaren Steuereinheit bekannt. Zur Anordnung ge- 
hort eine Schnittstelle zum Empfangen von Programm- 
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daten von einer entfernten Kontrollstelle iiber eine 
drahtlose Fernverbindung. An die Steuereinheit des 
Fahrzeugs zu ubertragende Programmdaten werden an 
der Schnittstelle in einem Puf ferspeicher zwischen- 
5 gespeichert und anschlieftend in einen Programmspei- 
cher der Steuereinheit iibertragen. Die Pufferung 
der Programmdaten ist aufgrund der oftmals instabi- 
len drahtlosen Fernverbindung notwendig, bei der es 
haufig zu Storungen wie zum Beispiel einer fehler- 

10 haften Dateniibertragung oder Unterbrechungen der 
Verbindung kommen kann. Erst wenn die Programmdaten 
vollstandig empfangen worden sind, k5nnen sie in 
den Speicher der Steuereinheit eingegeben werden, 
da wahrend des Vorganges der Eingabe der Programm- 

15 daten in den Speicher der Steuereinheit ein Betrieb 
des Fahrzeuges unterbrochen ist. Wurden die Pro- 
grammdaten, ohne sie zu puffern, direkt in den 
Speicher der Steuereinheit eingegeben werden, so 
ware der Betrieb des Fahrzeuges wahrend der gesam- 

20 ten fur die Fernubertragung der Programmdaten von 
der Kontrollstelle in den Puf ferspeicher benotigten 
Zeitdauer unterbrochen, was infolge von Storungen 
bei der Fernubertragung mitunter unverhaltnismassig 
lange dauern kann. 

25 

Ein Problem ergibt sich hierbei aber hinsichtlich 
der Legitimation, die an die Steuereinheit ubertra- 
gen werden muss, damit diese die Programmdaten, die 
vom Puf ferspeicher an sie iibertragen werden, akzep- 
30 tiert. Es ist vom Hersteller nicht erwtinscht, diese 
Legitimation im Fahrzeug selber dauerhaft physika- 
lisch zu speichern, weil dem Hersteller dadurch ei- 
ne Kontrolle iiber die Geheimhaltung bzw. die 
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Verbreitung der Legitimation aus der Hand gegeben 
ist. 


5 Vorteile der Erfindung 

Durch die voriiegende Erfindung, wie in den Anspru- 
chen 1, 2 und 10 definiert, werden Verfahren zum 
Fernprogrammieren eines programmgesteuerten Gerats 
0 sowie eine Anordnung hierfiir bereitgestellt , die 
eine Umprogrammierung des programmgesteuerten Ge- 
rats bei kurzestmoglicher Unterbrechung seines nor- 
malen Betriebs ermoglichen und bei denen die Ge- 
heimhaltung einer Legitimation gewahrleistet ist. 

5 

Beim erf indungsgemafien Verfahren nach Anspruch 1 
wird eine unkontrollierte Verbreitung der geheimen 
Legitimation dadurch unterbunden, dass die von der 
Kontrollstelle an die Schnittstelle f erniibertragene 

0 Legitimation von der Schnittstelle nicht wie die 
Programmdaten gepuffert sondern unverziiglich an das 
Gerat ubertragen wird, wo sie auf ihre Giiltigkeit 
gepriift wird. Ein physikalisches Speichern der Le- 
gitimation an der Schnittstelle wie im Fall der 

5 Programmdaten oder an einer anderen Stelle ist zum 
Funktionieren des Verfahrens nicht erforderlich. 
Damit ist die Legitimation zwischen Schnittstelle 
und Gerat zu keiner Zeit auf eine Weise prasent, 
die einen unbefugten Zugriff auf die Legitimation 

0 ermdglichen wurde. 

Beim erf indungsgemaften Verfahren nach Anspruch 2 
wird die Legitimation zwar wie die Programmdaten an 
der Schnittstelle gepuffert, jedoch ist ihre Gul- 
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tigkeitsdauer zeitlich begrenzt . Die Giiltigkeits- 
dauer sollte dabei so kurz gewahlt sein, dass sie 
bei einem unbefugten Zugriff auf die Legitimation 
ablauft, noch bevor mit der Legitimation eine unbe- 
5 fugte Programmierung des Gerats vorgenommen werden 
kann. 

Besonders bevorzugt werden die Legitimation 
und/oder die Programmdaten iiber die Fernverbindung 

10 drahtlos ubertragen. Dies erlaubt dem Gerat prinzi- 
piell eine uneingeschrankte Mobilitat. Um eine Aus- 
wirkung von wahrend der drahtlosen Obertragung hau- 
fig auftretenden Storungen zu minimieren, wird das 
Verfahren bei Auftreten einer solchen Stdrung wie- 

15 derholt, damit eine fehlerfreie Ubertragung der 
Programmdaten gewahrleistet ist. 

Von der Schnittstelle werden die Programmdaten 
und/oder die Legitimation bevorzugterweise iiber ei- 

20 ne verdrahtete Verbindung von der Schnittstelle zum 
Gerat ubertragen. Eine verdrahtete Verbindung zwi- 
schen Schnittstelle und Gerat ist insbesondere dann 
sinnvoll, wenn Schnittstelle und Gerat beispiels- 
weise beide in einer mobilen Vorrichtung wie z. B. 

25 einem Fahrzeug oder Roboter angeordnet sind. 

Es ist moglich, vor Obertragung der Programmdaten 
von der Kontrollstelle zur Schnittstelle zweite Da- 
ten aus einem Speicher des Gerats, beispielsweise 
30 dem Programmspeicher, auszulesen und zur Kontroll- 
stelle zu ubertragen. Auf diese Weise wird die Kon- 
trollstelle iiber einen aktuellen Stand der im Gerat 
vorliegenden Daten informiert. Auf der Grundlage 
dieses aktuellen Standes der zweiten Daten kann 
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dann die Kontrollstelle die neuen Programmdaten 
entsprechend zusammenstellen. Beispielsweise brau- 
chen Werte von Betriebsparametern Oder Programmtei- 
le, die unverandert bleiben sollen, nicht unnoti- 
5 gerweise mit den Programmdaten von der Kontroll- 
stelle zur Schnittstelle ubertragen zu werden. Eine 
Datenmenge von zu iibertragenden Programmdaten lasst 
sich auf diese Weise reduzieren, was die Ferniiber- 
tragung der Programmdaten beschleunigt und dadurch 

10 eine Storungsanfalligkeit der Fernubertragung ver- 
mindert. Vor der Fernubertragung zur Kontrollstelle 
werden die zweiten Daten vorteilhaf terweise an der 
Schnittstelle gepuffert. Die Pufferung erlaubt es, 
die zu iibertragenden zweiten Daten zunachst mit 

15 niedrigster Prioritat, d. h. ohne Beeintrachtigung 
von zeitgleich vom Gerat fur dessen normalen Be- 
trieb auszufuhrenden Aufgaben, bei der Schnittstel- 
le zu sammeln und sie dann in kurzer Zeit kontinu- 
ierlich zu ubertragen. So wird die Zeitspanne, in 

20 der der normale Betrieb des Gerats unterbrochen 
werden muss, weil kein gultiges Programm zum Steu- 
ern dieses Betriebs vorhanden ist, so kurz wie mog- 
lich gehalten. 

25 Es ist von Vorteil, nach der Obernahme der Pro- 
grammdaten in den Puf f erspeicher einen Erfolg der 
Fernprogrammierung zu uberpriifen und erst bei einem 
positiven Ergebnis der Oberpriifung einen durch die 
Programmdaten gesteuerten Betrieb des Gerats aufzu- 

30 nehmen. Fehlerhafte Programmdaten werden dadurch 
fruhzeitig erkannt und konnen korrigiert werden, 
bevor sie zu einem fehlerhaften Betrieb des fern- 
programmierbaren Gerats ftihren konnen. 
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Bei dem Programmspeicher des f ernprogranntiierbaren 
programmgesteuerten Gerats der erf indungsgemaften 
Anordnung kann es sich um einen beliebigen elekt- 
risch uberschreibbaren permanenten Speichertyp wie 
5 etwa ein EE PROM oder einen Flash-Speicher handeln. 
Da Flash-Speicher jeweils nur komplett uberschreib- 
bar sind, werden bei Verwendung eines solchen Spei- 
chers in dem oben betrachteten Fall, dass Teile der 
darin gespeicherten Programmdaten bei einer Umpro- 

10 grammierung unverandert bleiben sollen und deshalb 
nicht von der Kontrollstelle an die Schnittstelle 
ubertragen werden, diese Teile vom Flash-Speicher 
in den Puffer der Schnittstelle ubertragen und an- 
schlieflend zusammen mit den neuen Programmdaten in 

15 den Flash-Speicher riickgeschrieben. 

Bei der erf indungsgemaflen Anordnung ist die 
Schnittstelle mittels einer drahtlosen Fernverbin- 
dung mit einer Kontrollstelle verbindbar. Bei der 

20 drahtlosen Fernverbindung kann es sich beispiels- 
weise um eine zellulare Mobilfunkverbindung han- 
deln. Dabei empfangt das f ernprogrammierbare Gerat 
an der Schnittstelle die Programmdaten und die Le- 
gitimation, bei der es sich um eine Legitimation 

25 mit einer befristeten Gultigkeitsdauer handeln 
kann, von der Kontrollstelle. Die Schnittstelle 
gibt die Legitimation entweder unverziiglich und un- 
gepuffert an den Flash-Speicher weiter oder puffert 
sie bei befristeter Gultigkeit der Legitimation wie 

30 die Programmdaten in einem Puf f erspeicher, bevor 
sie die Legitimation an den Flash-Speicher weiter- 
gibt. Auf diese Weise wird vermieden, dass ein Un- 
befugter an irgendeiner Stelle der Anordnung auf 
eine Legitimation zugreifen kann, mit der er zu ei- 
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nem spateren Zeitpunkt die Programmdaten manipulie- 
ren kann. 

Bevorzugterweise handelt es sich bei dem Gerat urn 
5 eine Steuereinheit , die eine Vorrichtung steuert. 
Dabei kann es sich bei der Vorrichtung beispiels- 
weise urn einen Motor oder ein anderes Teil eines 
Kraftfahrzeugs handeln. 

10 Besonders bevorzugt ist die Anordnung in einem 
Fahrzeug angeordnet. 


Nachfolgend wird die Erfindung unter Zuhilf enahme 
von Zeichnungen naher erlautert. 

15 

Es zeigen: 


Fig. 1 eine schematische Darstellung eines fern- 
programmierbaren Gerates; 


Fig. 2 ein Flussdiagramm eines ersten erfin- 
dungsgemaflen Verfahrens; und 


Fig. 3 ein Flussdiagramm eines zweiten erfin- 
25 dungsgemafien Verfahrens. 

Figur 1 zeigt schematisch ein f ernprogrammierbares 
Gerat 1, bei dem es sich um ein Fahrzeug handelt. 
Das Fahrzeug 1 umfasst einen Motor 2, eine Steuer- 
30 einheit 3, eine Schnittstelle 4, eine Antenne 5 
sowie eine verdrahtete Verbindung 6 zwischen der 
Steuereinheit 3 und der Schnittstelle 4. Die 
Schnittstelle 4 weist einen Puf f erspeicher 7 auf, 
wahrend die Steuereinheit 3 Uber einen Flash- 
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Speicher 8 und einen Prozessor 12 verfiigt. Uber 
die Antenne 5 ist das Fahrzeug 1 mit einer Kon- 
trollstelle 9 drahtlos verbindbar. Die Kontroll- 
stelle 9 weist im Wesentlichen einen Computer 10 
5 sowie eine Antenne 11 auf. Beim Computer 10 kann 
es sich urn einen stationaren Rechner wie bei- 
spielsweise einen PersonalComputer handeln Oder 
aber urn ein mobiles Gerat, wie zum Beispiel ein 
Laptop. 

10 

Im Betrieb des Fahrzeuges 1 wird dessen Motor 2 
von der Steuereinheit 3 gesteuert. Dazu sind im 
Flash-Speicher 8 der Steuereinheit 3 EDV-Programme 
zur Steuerung sowie vorgegebene Werte fur Be- 

15 triebsparameter des Motors 2 abgelegt. Diese EDV- 
Programme und Betriebsparameter mussen von Zeit zu 
Zeit modifiziert werden. Dies geschieht Uber die 
Kontrollstelle 9. Hierzu wird mittels der Antennen 
5, 11 eine drahtlose Verbindung zwischen dem Fahr- 

20 zeug 1 und der Kontrollstelle 9 hergestellt. Ober 
diese drahtlose Verbindung werden neue Programm- 
daten von der Kontrollstelle 9 an das Fahrzeug 1 
iibertragen und im Puf ferspeicher 7 der Schnitt- 
stelle 4 zwischengespeichert . Anschlieflend iiber- 

25 tragt die Kontrollstelle 9 eine Legitimation zur 
Schnittstelle 4 und von dieser an die Steuerein- 
heit 3. Nach positiver Oberprvifung der Legitimati- 
on durch den Prozessor 12 der Steuereinheit 3 ti- 
bernimmt der Flash-Speicher 8 die im Pufferspei- 

30 cher 7 zwischengespeicherten Programmdaten. Wah- 
rend dieser kurzen Zeit ist das Fahrzeug 1 aufler 
Betrieb. Fur die Fernprogrammierung des Flash- 
Speichers 8 werden zwei Verfahren bevorzugt, die 
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im Folgenden mit Hilfe von jeweils einem Flussdia- 
gramm naher erlautert werden. 

Figur 2 zeigt ein Flussdiagramm des ersten bevor- 

5 zugten erf indungsgemaJJen Verfahrens. Zunachst wird 
in einem ersten Schritt 13 eine drahtlose Verbin- 
dung uber die Antennen 5, 11 zwischen der Kon- 
trollstelle 9 und dem Fahrzeug 1 hergestellt. Nach 
Herstellen der Verbindung werden im Schritt 14 Da- 

0 ten aus dem Flash-Speicher 8 ausgelesen und iiber 
die Verbindung 6 zum Puf f erspeicher 7 iibertragen, 
wo sie gepuffert werden. Im darauf folgenden 
Schritt 15 werden diese Daten vom Puf f erspeicher 7 
fiber die Schnittstelle 4 und die drahtlose Verbin- 

5 dung zwischen den Antennen 5, 11 vom Fahrzeug 1 
zur Kontrollstelle 9 f erniibertragen . Die Daten um- 
fassen neben den eigentlichen Programmdaten eine 
oder mehrere aus den Programmdaten berechnete 
Prufsummen, anhand deren ein Erfolg dieser Fern- 

0 iibertragung in Schritt 16 vom Computer 10 der Kon- 
trollstelle 9 geprvift wird. 

Sofern wahrend der Ferniibertragung der Daten Sto- 
rungen aufgetreten sind, weil die Ferniibertragung 

5 zum Beispiel unterbrochen wurde oder fehlerhaft 
erfolgt ist, werden die Schritte 15 und 16 wieder- 
holt. War die Ferniibertragung erfolgreich, so er- 
stellt die Kontrollstelle 9 im Schritt 17 mit dem 
Computer 10 auf Grundlage der erhaltenen Daten 

D neue in den Flash-Speicher 8 zu programmierende 
Programmdaten. Insbesondere priift der Computer 10, 
welche Betriebsparameter geandert werden mtissen 
oder ob das EDV-Programm des Flash-Speichers 8 er- 
weitert oder korrigiert werden muss. 
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Nach Erstellen der neuen Programmdaten werden die- 
se sowie daraus berechnete Prufsummen uber die 
drahtlose Verbindung zwischen den Antennen 5, 11 
5 von der Kontrollstelle 9 in Schritt 18 an die 
Schnittstelle 4 des Fahrzeuges 1 ubertragen. Dort 
werden die Programmdaten und Prufsummen im Puffer- 
speicher 7 in Schritt 19 zwischengespeichert . 

10 Die Schnittstelle 4 iiberpruft in Schritt 20 anhand 
der Prufsummen die Unversehrtheit der tibertragenen 
Programmdaten. Wenn sie einen Fehler in den Pro- 
grammdaten feststellt, kehrt sie zu Schritt 18 zu- 
riick, um eine erneute Ubertragung zu veranlassen. 

15 

Sobald die Programmdaten in dem Puf f erspeicher 7 
als fehlerfrei beurteilt worden sind, iibertragt 
die Kontrollstelle 9 in Schritt 21 eine Legitima- 
tion tiber die drahtlose Verbindung der Antennen 5, 

20 11 zur Schnittstelle 4. Von der Schnittstelle 4 
wird die Legitimation in Schritt 22 unverztiglich 
und ungepuffert uber die verdrahtete Verbindung 6 
zur Steuereinheit 3 ubertragen. Nach Erhalt der 
Legitimation uberpruft der Prozessor 12 der Steue- 

25 reeinheit 3 in Schritt 23 die Legitimation auf ih- 
re Giiltigkeit. Die Legitimation wird an keiner 
Stelle langer gespeichert, als notig ist, damit 
der Prozessor 12 tiber ihre Giiltigkeit entscheiden 
kann. Ein unkontrollierter Zugriff auf die Legiti- 

30 mation wird dadurch verhindert. 


Erweist sich die Legitimation in Schritt 23 als 
nicht gultig, so ftihrt dies zu einem Abbruch 24 
des Verfahrens. Wird die Giiltigkeit der Legiti- 
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mation festgestellt, so iibernimmt der Flash- 
Speicher 8 in Schritt 25 die im Puf f erspeicher 7 
zwischengespeicherten Programmdaten . 

5 In Schritt 26 wird der normale Betrieb der Steuer- 
einheit 3 anhand des nun im Flash-Speicher 8 ge- 
speicherten aktualisierten Programms und damit des 
Fahrzeuges 1 wieder aufgenommen. Es erfolgt in 
Schritt 27 eine entsprechende Ruckmeldung an die 

0 Kontrollstelle 9. Daraufhin wird in Schritt 28 die 
drahtlose Verbindung zwischen Fahrzeug 1 und Kon- 
trollstelle 9 abgebrochen und das Verfahren been- 
det. 

5 Ein weiteres erf indungsgemaAes Verfahren zur Fern- 
programmierung des Flash-Speichers 8 ist im Fluss- 
diagramm der Figur 3 zu sehen. Dieses Verfahren 
wird wie das zuvor beschriebene Verfahren mit den 
gleichen Schritten 13 bis 21 eingeleitet, so dass 

0 an dieser Stelle zur Beschreibung der Verfahrens- 
schritte 13 bis 21 in Fig. 3 auf die entsprechende 
Beschreibung der Verf ahrensschritte 13 bis 21 in 
Figur 2 verwiesen werden kann. Nach Ubersenden der 
Legitimation von der Kontrollstelle 9 zur Schnitt- 

5 stelle 7 in Schritt 21 weicht das zweite Verfahren 
gemaB Fig. 3 im nachf olgenden Schritt 2 9 vom ers- 
ten Verfahren dahingehend ab, als in Schritt 29 
die Legitimation im Puf f erspeicher 7 gepuffert 
wird. D. h. die Schnittstelle 4 braucht nicht zwi- 

D schen Programmdaten und Legitimation unterscheiden 
zu konnen; sie kann daher einfacher aufgebaut sein 
als im Fall der Fig. 2. Im Unterschied zum Verfah- 
ren der Fig. 2 handelt es sich beim Verfahren der 
Fig. 3 urn eine Legitimation mit zeitlich begrenz- 
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ter Giiltigkeitsdauer . Das bedeutet, dass die Legi- 
timation vom Prozessor 12 der Steuereinheit 3 nur 
innerhalb eines bestimmten vorgegebenen Zeitinter- 
valls als gultig anerkannt wird. Aus diesem Grund 
5 bedeutet auch das physikalische Zwischenspeichern 
der Legitimation im Puf f erspeicher 7 keine signi- 
fikante Beeintrachtigung der Sicherheit vor Mani- 
pulation, denn wenn es einem Unbefugten gelingt, 
die Legitimation herauszuf inden, wird er bei einem 
10 Manipulationsversuch dennoch daran scheitern, dass 
der Prozessor 12 die zwischenzeitlich abgelaufene 
Legitimation nicht mehr als gultig anerkennt. 

In Schritt 30 wird die Legitimation von der 
15 Schnittstelle 4 zur Speichereinheit 3 ubertragen 
und in Schritt 31 vom Prozessor 12 auf ihre Gtil- 
tigkeit uberpriift. Wie erwahnt umfasst diese Giil- 
tigkeitsiiberpriifung auch eine Uberprufung hin- 
sichtlich einer zeitlichen Gultigkeit der Legiti- 
20 mation. Fallt die Entscheidung die Gultigkeit der 
Legitimation negativ aus und wird die Legitimation 
als ungultig eingestuft, so folgt mit Schritt 24 
ein Abbruch des Verfahrens. Wird die Legitimation 
als gultig anerkannt, so wird mit den Schritten 25 
25 bis 28 f ortgef ahren, die den Schritten 25 bis 28 
des Flussdiagramms der Figur 2 entsprechen und zu 
deren Beschreibung an dieser Stelle wiederum auf 
die Beschreibung der Figur 2 verwiesen wird. 

0 

30 Bei den vorgestellten Verfahren handelt es sich urn 
besonders bevorzugte erf indungsgemaJie Verfahren. 
Es sind daruber hinaus auch Variationen der Ver- 
fahren moglich, ohne den Erf indungsgedanken zu 
verlassen. Beispielsweise ist es moglich, beim 
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zweiten Verfahren gemafl der Figur 3 den Schritt 21 
des Obertragens der Legitimation vor den Schritten 
18 bis 20 der Ubertragung der Programmdaten durch- 
zufuhren, so dass, wenn anschlieJiend alle empfan- 
5 genen Daten in der Reihenfolge ihres Empfangs 
durch die Schnittstelle an das Gerat iibertragen 
werden, die Legitimation zuerst eintrifft und vom 
Prozessor 12 gepruft werden kann. 

10 Eine zusatzliche Absicherung ist erreichbar, wenn 
jeweils zwischen die Schritte 25 der Obernahme der 
Programmdaten durch das Gerat und 26 der Wieder- 
aufnahme des normalen Betriebs eine Priifung von 
zusammen mit den Programmdaten an das Gerat viber- 

15 tragenen Prufsummen durch den Prozessor 12 statt- 
findet und bei Feststellung eines Fehlers der 
Schritt 25 wiederholt wird. 

Auch kann der Schnittstelle 4 eine eigene Legiti- 
20 mation zugeordnet werden, die bei jeder Neupro- 
grammierung des Gerats genauso wie die Legitimati- 
on der Kontrollstelle an das Gerat iibertragen wer- 
den muss und gepruft wird, bevor das Gerat eine 
Neuprogrammierung zulasst. 
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Paten tanspriiche 

1. Verfahren zum Fernprograiranieren eines pro- 
grammgesteuerten Gerats (3) mit den Schritten 

(a) Fernubertragen von Programmdaten von 
einer Kontrollstelle (9) uber eine 
Fernverbindung an eine mit dem Gerat 
(3) verbundene Schnittstelle (4); 

(b) Puffern der Programmdaten an der 
Schnittstelle (4); 

(c) Fernubertragen einer Legitimation von 
der Kontrollstelle (9) an die Schnitt- 
stelle (4); 

(d) ungepufferte Weitergabe der Legitima- 
tion an das Gerat (3) ; 

(e) Priifen der Legitimation durch das Ge- 
rat (3); 

(f) bei positiver Legitimation Eintragen 
der Programmdaten in einen Programm- 
speicher (8) des Gerats (3). 

2. Verfahren zum Fernprogrammieren eines pro- 
grammgesteuerten Gerats (3) mit den Schritten 

(a) Fernubertragen von Programmdaten von 
einer Kontrollstelle (9) uber eine 
Fernverbindung an eine mit dem Gerat 
(3) verbundene Schnittstelle (4); 

(b) Puffern der Programmdaten an der 
Schnittstelle (4) ; 

(c) Fernubertragen einer Legitimation von 
der Kontrollstelle (9) an die Schnitt- 
stelle (4); 
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(d) Weitergabe der Legitimation an das Ge- 
rat (3); 

(e) Prtifen der Legitimation durch das Ge- 
rat (3), wobei die Priifung ein Prtifen 
einer Gultigkeitsdauer der Legitimati- 
on umfasst; 

(f) bei positiver Legitimation Eintragen 
der Programmdaten in einen Programm- 
speicher (8) des Gerats (3) . 

Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, dass die Legitimation und/oder 
die Programmdaten iiber die Fernverbindung 
drahtlos iibertragen werden. 

Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, dass das Verfahren bei Auftreten ei- 
ner Storung der drahtlosen Ubertragung wieder- 
holt wird. 

Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die Pro- 
grammdaten und/oder die Legitimation tiber eine 
verdrahtete Verbindung (6) von der Schnitt- 
stelle (4) zum Gerat (3) iibertragen wird. 

Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass vor der 
Obertragung der Programmdaten zur Schnittstel- 
le (4) zweite Daten aus einem Speicher (8) des 
Gerats (3) ausgelesen und zur Kontrollstelle 
(9) iibertragen werden. 
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Verfahren nach Anspruch 6, dadurch gekenn- 
zeichnet, dass die zweiten Daten an der 
Schnittstelle (4) gepuffert werden, bevor sie 
zur Kontrollstelle (9) ubertragen werden. 

Verfahren nach einem der Anspruche 6 oder 7, 
dadurch gekennzeichnet, dass die Kontrollstel- 
le (9) die Programmdaten auf Grundlage der 
zweiten Daten zusammenstellt . 

Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass nach der 
Obernahme der Programmdaten in den Programm- 
speicher (8) ein Erfolg der Fernprogrammierung 
uberpruft und bei einem positiven Ergebnis der 
Oberprufung ein durch die Programmdaten ge- 
steuerter Betrieb des Gerats (3) aufgenommen 
wird. 

Anordnung, insbesondere zur Ausfiihrung eines 
Verfahrens nach einem der vorhergehenden An- 
spruche, mit einer Schnittstelle (4) zum Emp- 
fangen von Programmdaten und einer Legitimati- 
on, und einem f ernprogrammierbaren, programm- 
gesteuerten Gerat (3), das einen Prozessor 
(12) und einen Prograramspeicher (8) umfasst, 
dadurch gekennzeichnet, dass die Schnittstelle 
(4) eingerichtet ist, empfangene Programmdaten 
zu puffern, eine empfangene Legitimation an 
das Gerat (3) weiterzuleiten, und die gepuf- 
ferten Programmdaten nach positiver Prtifung 
der Legitimation durch das Gerat (3) an das 
Gerat (3) zu ubertragen. 
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11. Anordnung nach Anspruch 10, dadurch gekenn- 
zeichnet, dass der Programmspeicher (8) ein 
Flash-Speicher Oder ein EE PROM ist. 

5 12. Anordnung nach Anspruch 10 oder 11, dadurch 
gekennzeichnet, dass die Schnittstelle (4) 
mittels einer drahtlosen Fernverbindung mit 
einer Kontrollstelle (9) verbindbar ist. 

10 13. Anordnung nach einem der Ansprtiche 10 bis 12, 
dadurch gekennzeichnet, dass die Schnittstelle 
(4) die Legitimation von der Kontrollstelle 
(9) empfangt und ungepuffert an das Gerat (3) 
weitergibt . 

15 

14. Anordnung nach einem der Ansprtiche 10 bis 13, 
dadurch gekennzeichnet, dass das Gerat (3) ei- 
ne Steuereinheit ist, die eine Vorrichtung (2) 
steuert . 

20 

15. Anordnung nach Anspruch 14, dadurch gekenn- 
zeichnet, dass die Vorrichtung (2) ein Kraft- 
fahrzeug oder ein Teil eines Kraf tfahrzeugs o- 
der eine als Teil eines Kraftf ahrzeugs ver- 

25 wendbare Vorrichtung wie etwa ein Motor ist. 

16. Kraftfahrzeug mit einer Anordnung nach einem ! 
der Ansprtiche 10 bis 15. 


WO 2005/008612 


1/3 


PCT/DE2004/001474 



WO 2005/008612 


2/3 


PCTVDE2004/001474 



WO 2005/008612 


3/3 


PCT/DE2004/001474 



